Gentoo Logo

Gentoo Weekly Newsletter: October 6, 2003

Inhalt:

1.  Gentoo News

Zusammenfassungen

Gentoo Linux Performance Daten

Am 23. September hat Jose Alberto Suarez Lopez ein Referat bei der HispaLinux 2003 gehalten, wo er die Ladezeit Performance des offiziellen Gentoo Linux 1.4 Release demonstriert hat. Gentoo Linux 1.4 fÃŒr Pentium III, mit und ohne prelink, wurden mit einer standardmÀßigen Mandrake 9.1 Installation verglichen. Das Ergebnis: Gentoo Linux 1.4 mit prelink war durchgÀngig besser als Mandrake 9.1, und sogar ohne prelinking lud Mozilla in Gentoo nahezu doppelt so schnell und NetBeans mehr als zwei mal so schnell.

Die Schlussfolgerung, die wir daraus ziehen könnnen ist, dass die standardmÀßigen Optimierungen von Gentoo Linux fÃŒr Pentium III einen signifikanten Unterschied bei einer realen Anwendungs Ladezeit ergeben. Auch sieht es so aus, als wenn prelinking die Ladezeit von KDE Anwendungen deutlich verbessern kann. Gentoo Linux ist in der Lage generell eine bessere Performance als andere Distributionen zu bieten, da wir versuchen, unseren Benutzern die aktuellsten und besten freien Software Technologien, wie die aktuellsten 'Compiler Toolchains', anzubieten. Auch bieten wir fÃŒr Benutzer, die ihr Gentoo nicht 'from scratch' bauen wollen vorkompilierte, auf die jeweilige CPU angepasste Pakete an. FÃŒr weitere Informationen lesen Sie den Rest der Ergebnisse. Um eine eigene angepasste Version von Gentoo zu erhalten besuchen Sie den Gentoo Store.

2.  Gentoo Security

Summary

GLSA: teapop

Beschreibung:

Durch einen Fehler im Authentifizierungsmodul ermöglicht teapop eine sog. "sql injection" (bei PostgreSQL und MySQL).

  • Klassifizierung: hoch - "sql injection" aus der Ferne mögl.
  • Betroffenes Paket: <teapop-0.3.7
  • Lösung: emerge sync; emerge teapop; emerge clean
  • GLSA Bekanntmachung

GLSA: mpg123

Beschreibung:

Ein Heap-Pufferüberlauf bei mpg123 ermöglicht es einem entfernten Angreifer, beliebigen Code auf der Maschine seines Opfers auszuführen.

  • Klassifizierung: hoch - Pufferüberlauf.
  • Betroffenes Paket: <mpg123-0.59r-r3
  • Lösung: emerge sync; emerge mpg123; emerge clean
  • GLSA Bekanntmachung

GLSA: net-ftp/proftpd

Zusammenfassung:

ISS X-Force hat eine Verwundbarkeit des proftp-Servers herausgefunden, die ausgenutzt werden kann, wenn eine speziell formatierte Datei auf den Server hochgeladen wird.

  • Klassifizierung: hoch - Verwundbarkeit durch ASCII-Dateien (aus der Ferne ausnutzbar).
  • Betroffenes Paket: <net-ftp/proftpd-1.2.9_rc2
  • Lösung: emerge sync; emerge '>=net-ftp/proftpd-1.2.9_rc2'; emerge clean
  • GLSA Bekanntmachung

GLSA: media-video/mplayer

Zusammenfassung:

Es wurde ein Pufferüberlauf im MPlayer gefunden, der das Programm auch für entfernte Angreifer verwundbar macht. Ein bösartiger Rechner könnte einen schädlichen ASX Header generieren und dadurch MPlayer dazu bewegen, beliebigen Programmcode auszuführen.

  • Klassifizierung: hoch - Pufferüberlauf.
  • Betroffenes Paket: <mplayer-0.91 =mplayer-1.0_pre1
  • Lösung: emerge sync; emerge =media-video/mplayer-0.92; emerge clean
  • GLSA Bekanntmachung

GLSA: openssl

Zitat aus der OpenSSL-Ankündigung:

"1. Bestimmte ASN.1 Verschlüsselungen, die als invalid zurückgewiesen werden, können einen Fehler in der Freigabe der entsprechenden Datenstruktur auslösen und so den Stack korrumpieren, was wiederum für eine sog. "Denial of Service" Attacke genutzt werden kann. Es ist allerdings unklar, ob sich damit auch fremder Code ausführen lässt. Die Version OpenSSL 0.9.6 ist von diesem Fehler nicht betroffen.

2. Unübliche Werte in ASN.1 Marken können unter gewissen Umständen ebenfalls für einen DoS-Angriff genutzt werden.

3. Ein speziell formatierter öffentlicher Schlüssel in einem Zertifikat kann den Algorithmus zur Verifikation zum Absturz bringen, sofern dieser so eingestellt ist, daß er Fehler in öffentlichen Schlüssel ignoriert (was normalerweise auch nur unter Debugging-Bedingungen der Fall sein sollte). Auch dieser Fehler kann für eine DoS-Attacke genutzt werden.

4. Durch einen Fehler in der Verarbeitung des SSL/TLS-Protokolls analysiert der Server das Zertifikat des Clients selbst dann, wenn er es gar nicht müsste. Das an sich ist noch keine Verwundbarkeit, allerdings bedeutet dies, daß *sämtliche* SSL/TLS-Server die OpenSSL verwenden durch die 3 oben beschriebenen Fehler anfällig sind, selbst wenn sie die Authentifizierung gegenüber dem Client gar nicht aktiviert haben."

  • Klassifizierung: mittel - entfernter Angriff mögl.
  • Betroffenes Paket: <openssl-0.9.6k
  • Lösung: emerge sync; emerge openssl; emerge clean
  • GLSA Bekanntmachung

Neue Sicherheitslöcher

Diese Woche wurden folgende Sicherheitslöcher registriert:

3.  Entwickler der Woche

Thomas Raschbacher


Abbildung 3.1: Thomas Raschbacher

Fig. 1: Thomas Raschbacher

Diese Woche stellen wir euch Thomas Raschbacher (LordVan) vor, der Kopf des Gentoo-Druck-Teams ist und häufig Verbesserungen und Ebuilds für Pyton und DVB beisteuert. Er ist auch beim deutschen Übersetzungsteam dabei, wobei er die Übersetzung unseres geliebten GWN koordiniert. In erster Linie arbeitet er an der Entwicklung von neuen Ebuilds und am Verbessern von alten Ebuilds. Zusätzlich zu seiner Arbeit bei Gentoo stellte er Übersetzungsarbeit für das Gnome-Projekt bereit und half beim Verbessern von Twisted, sowie bei einigen anderen kleineren Projekten. Er ist recht stolz auf einige seiner Web-Entwicklungen, die er mit Twisted fertigsgestellt hat und plant, diese unter Open Source bereitzustellen.

Thomas ist ein alter Hase in Sachen Linux, mit dem er 1996 mit Slackware begonnen hatte. Er wechselte zu Gentoo kurz nachdem von dem Projekt im August 2002 gehört hatte. Er wurde ein Entwickler im Dezember desselben Jahres, nachdem (wie er es sagt) "es mir zu lästig wurde, meine Ebuilds und Verbesserungen immer" Seemant Kulleen zu übermitteln. Thomas beschreibt Gentoo als "verdammt gute Distri, für die ich gern mehr tun würde".

Thomas lebt in Judenau-Baumgarten, Niederösterreich. Er hat sein Studium der Technischen Informatik an der Höheren Technischen Schule beendet, genauso wie seine Matura (Abitur). Er hat sich als Verkaufsberater von Computern selbstständig gemacht (Web-Design und Linux-Support mit inbegriffen). Er ist ein begeisterter Anhänger der fernöstlichen Kampfkünste. Momentan lernt er Ninjutsu (dazu auch noch Japanisch). Er liebt Star Trek, Anime und Mangas. In diese Richtung gehört auch sein Lieblingszitat vom Anime-Klassiker End of Evangelion (ein Gespräch zwischen den Charakteren Shinji und Rei): "Nun... wo ist mein Traum? Er ist die Fortsetzung der Realität. Wo ist... meine Realität? Sie ist am Ende meines Traumes.". Schließlich ist Thomas auch noch aktiv an der Organisation von LAN Parties beteiligt (an denen er natürlich auch selbst teilnimmt).

Thomas macht den größten Teil seiner Arbeit an einem Celeron-Server, einer Workstation zum Entwickeln und einem Produktions-Web-Server. Zusätzlich besitzt er noch einen Laptop, eine Zaurus Handheld und eine Ansammlung von Testrechnern- und servern. In erster Linie arbeitet er mit den Entwicklungstools python, sed und grep. Er kommuniziert mit mutt, MozillaFirebird, Xchat-2 und MozillaThunderbird. Er ist auch von gnotime begeistert, einem GNOME-Zeitplaner. Wie bei vielen von uns ist seine erste Aufgabe nach dem Aufwachen, die E-Mails abzurufen.

4.  Gehört in der Community

Heutiges PHP

In den Tagen als nur ein paar tausend Forennutzer existierten, schien es ein übermässiges Auslöser-Glück zu sein, wann immer Dreiergruppen oder sogar eine größere Anzahl von Nachrichten mit dem selben Inhalt im Forum erschienen. In diesen Tagen allerdings ist der Grund für sich wiederholende Postings (umgangssprachlich: Postorrhea) die Trägheit nicht-bevorstehender Antworten von der Datenbank wann immer jemand den Abschickknopf unter schwierigen Verkehrsbedingungen gedrückt hat, und ja, multiple Postings können selbst dann vorkommen, wenn der Abschickknopf nur einmal gedrückt wurde. Während die Moderatoren des deutschen Forums, um die Belastung ein wenig zu vermindern, angefangen haben die Leute zu fragen ihnen unnütze, doppelte, sehr alte und unbeantwortete Threads zu nennen, die gelöscht werden können ohne das sie jemand vermissen würde, haben die schwer tragbaren Geschwindigkeitsprobleme den Site-Admin klieber dazu veranlasst eine öffentliche Diskussion über mögliche Alternativen zu der aktuellen Forumssoftware phpBB anzuschmeissen und um Meinungen zu kommerziellen Paketen als potenziellen Ersatz gebeten:

Portage im Web

Weil stable.gentoo.org für eine Weile zurückgestellt wurde und diePaket-Datenbank auf der Gentoo Hauptseite etwas wortkarg ist, wenn es um Kommentare und Statusbeschreibungen zu den Paketen geht, hatte thrasher6670 die Idee eine semi-automatische, augenblicklich interaktive Seite zu erstellen, die den Inhalt des Portagebaums überwacht und die Möglichkeit anbietet, dass Nutzer ihren Eindruck zu jedem einzelnen Paket hinterlassen können. Wie trasher6670 in dem von ihm gestarteten Thread (und ebenfalls auf der Website) sagte, könnte er noch etwas Hilfe beim Web-Design gebrauchen...

Nicht-Englischer GWN Via Mail

Ja, es ist möglich, sogar ohne extra Mailinglisten für die einzelnen Sprachen. Dank an Ginko für sein nettes, kleines Perl-Script welches automatisch für den Download, die Konvertierung und die Verschickung frischer GWN-Kopien sorgt sobald sie auf der Gentoo Webseite erscheinen:

gentoo-user

Benchmarken/Tweaken deiner Grafikkarte

Möchtest du das letzte an FPS aus deiner ATI/Nvidia Grafikkarte herausholen? Möglicherweise möchtest du diesen interessanten Thread bezüglich des Testen und Konfigurieren des AGPGART ansehen.

Leichtgewichtige Dateimanager für Gentoo

Viele Nutzer fühlen sich durch Gentoo angezogen, weil es eine leichtgewichtige, "nur was du wirklich willst"-Lösung für ihre Bedürfnisse anbietet. Ebenso erfreuen sich einige Nutzer an der selben Art von Desktop. Schau mal in diesen Thread für einige Empfehlungen dazu.

gentoo-dev

Die große Gentoo-Wanzen-Jagd!

Halte dich nicht mit dem Suchen nach Ostereiern bei Ostern auf, fang an nach einigen Wanzen in Gentoo zu suchen und gewinne kostenlose Hardware! Interessiert daran ein Meisterdetektiv für Gentoo zu werden? Dann lies hier um die Regeln zu kennen und starte das Zerdrücken!

5.  Gentoo International

Deutschland: Erinnerung für die Events dieser Woche

Die Gentooists aus Frankfurt haben ihr Treffen vor dem GWN abgehalten: Es wurde angekündigt, abgehalten und war vorüber, ehe wir in den Foren Thread schauen konnten. Dennoch: Die anstrengendste Deutsche Gentoo Woche steht in den Startlöchern, wir wollen euch kurz an die Termine erinnern:

6.  Gentoo International

Deutschland: Erinnerung für die Veranstaltungen dieser Woche

Die Gentoo-Jünger aus Frankfurt hielten ihr Treffen ab, ohne daß der letzte GWN etwas davon gewußt hätte: Es wurde angekündigt, es fand statt und es war wieder vorbei ... das alles, bevor wir den betreffenden Forumseintrag gesehen haben. Dennoch beginnt nun die geschäftigste Woche für alle Gentoo-Begeisterten aus Deutschland, weshalb wir an einige Veranstaltungen erinnern wollen:

7.  Portage Watch

Portage Watch fällt diese Woche aus.

8.  Bugzilla

Zusammenfassung

Statistik

Die Gentoo Community verwendet Bugzilla (bugs.gentoo.org) um Bugs, Meldungen, Vorschläge und andere Kommunikationen mit dem Entwicklerteam zu protokollieren. Die Aktivitäten zwischen 26. September 2003 und 02. Oktober 2003 resultierten in:

  • 496 neuen Bugs
  • 464 geschlossenen oder 'gelösten' Bugs
  • 13 wieder geöffneten Bugs

Von den 4140 zur Zeit offenen Bugs sind: 92 als 'blocker', 196 als 'critical', und 335 als 'major' markiert.

Rangliste geschlossene Bugss

Die Entwickler und Entwicklerteams welche die meisten Bugs geschlossen haben sind:

Rangliste neue Bugs

Die Entwickler und Entwicklerteams welche diese Woche die meisten neuen Bugs zugewiesen bekommen haben sind:

9.  Tipps und Tricks

Eine Einführung in sudo

Der dieswöchige Tipp demonstriert einige gebräuchliche Anwendungen con sudo, die es normalen Benutzern erlaubt, Befehle mit erweiterten Privilegien aufzurufen. Diese Wochen benutzen wir sudo, um uns Log-Files anzusehen und grundlegende Benutzerverwaltung zu handhaben.

Befehlsauflistung 9.1: Getting sudo

% emerge app-admin/sudo
  

Zuerst muss /etc/sudoers gesetzt werden, der alle Privilegien kontrolliert, die von sudo gehandhabt werden. Diese Datei sollte nie direkt geänder werden, sondern nur mit dem visudo-Befehl. Um eine komplette Liste aller Konfigurationsoptionen zu erhalten, schaut die sudoers Man Page (man 5 sudoers).

Diese Datei ist nur ein Beispiel und demonstriert, wie man Befehls- und Benutzeraliases vergibt.

Befehlsauflistung 9.2: /etc/sudoers

# sudoers file.
#
# This file MUST be edited with the 'visudo' command as root.
#
# See the sudoers man page for the details on how to write a sudoers file.
#

# User alias specification
User_Alias      HELPDESK  = jfox, helpdesk
User_Alias      SYSADMINS = david, jc

# Cmnd alias specification
# Create aliases for all commands used in viewing files
Cmnd_Alias      VIEW = /bin/cat, /bin/grep, /bin/more, /usr/bin/head, \
                       /usr/bin/tail, /usr/bin/less 

# commands for user administration
Cmnd_Alias  USERADMIN = /usr/sbin/useradd, /usr/sbin/userdel, \
                        /usr/sbin/usermod

# User privilege specification
# Allow SYSADMINS to run any command as any user
SYSADMINS   ALL = ALL

# Allow  users in HELPDESK to use the user administration commands and
# to use the VIEW commands without a password
HELPDESK    ALL = USERADMIN, NOPASSWD:VIEW

# Allow users in the %users group to use the VIEW commands
%users      ALL = VIEW
  

Nun da /etc/sudoers erstellt wurde, kann man Befehle mit sudo Befehl absetzen.

Befehlsauflistung 9.3: Examples

(Viewing /var/log/critical/current as the helpdesk user)
helpdesk@mybox% sudo tail /var/log/critical/current

(Adding a new user as the user jfox)
jfox@mybox% sudo useradd marcus
Password: password for jfox
  

Dies war natürlich nur ein kurzer Abriss, sollte euch aber einige der vielen Möglichkeiten von sudo demonstrieren. Für weitere Beispiele und Optionen schaut die Man Pages oder folgende Web-Seite http://www.courtesan.com/sudo/.

10.  Abgänge, Zugänge und Veränderungen

Abgänge

Die folgenden Entwickler haben kürzlich das Gentoo Team verlassen:

  • keine diese Woche

Zugänge

Die folgenden Entwickler haben sich kürzlich dem Gentoo Team angeschlossen:

  • Brad House (brad_mssw) -- amd64
  • Joel Hillster (hillster) -- miscellanious ebuilds
  • Rob Cakebread (pythonhead) -- python

Veränderungen

Die folgenden Entwickler haben innerhalb des Gentoo Projektes kürzlich ihre Rolle verändert oder neue Verantwortlichkeiten angenommen:

  • keine diese Woche

11.  Zum GWN beitragen

Bist Du daran interessiert, etwas zum Wöchentlichen Gentoo Newsletter beizutragen? Schicke uns eine eMail

12.  GWN Feedback

Bitte schicke uns Dein Feedback und hilf' damit, den GWN besser zu machen.

13.  Die GWN Mailing List abonnieren

Bevorzugst Du es, den GWN per eMail zu erhalten? Abonniere ihn, indem Du eine leere eMail an gentoo-gwn-subscribe@gentoo.org schickst.

Um den GWN wieder abzubestellen schicke eine leere eMail an gentoo-gwn-unsubscribe@gentoo.org von der Adresse, auf die Du den Newsletter nicht mehr erhalten willst.

14.  Andere Sprachen

Der GWN ist ausserdem verfügbar in den folgenden Sprachen:



Drucken

Seite aktualisiert 6 October 2003

Zusammenfassung: Dies ist der Gentoo Weekly Newsletter für die Woche des 06. Oktober 2003.

Yuji Carlos Kosugi
Editor

AJ Armstrong
Contributor

Brian Downey
Contributor

Cal Evans
Contributor

Chris Gavin
Contributor

Luke Giuliani
Contributor

Shawn Jonnet
Contributor

Michael Kohl
Contributor

Kurt Lieber
Contributor

Rafael Cordones Marcos
Contributor

David Narayan
Contributor

Gerald J Normandin Jr.
Contributor

Ulrich Plate
Contributor

Mathy Vanvoorden
Dutch Translation

Hendrik Eeckhaut
Dutch Translation

Jorn Eilander
Dutch Translation

Bernard Kerckenaere
Dutch Translation

Peter ter Borg
Dutch Translation

Jochen Maes
Dutch Translation

Roderick Goessen
Dutch Translation

Gerard van den Berg
Dutch Translation

Matthieu Montaudouin
French Translation

Martin Prieto
French Translation

Antoine Raillon
French Translation

Sebastien Cevey
French Translation

Jean-Christophe Choisy
French Translation

Thomas Raschbacher
German Translation

Steffen Lassahn
German Translation

Matthias F. Brandstetter
German Translation

Lukas Domagala
German Translation

Tobias Scherbaum
German Translation

Daniel Gerholdt
German Translation

Marc Herren
German Translation

Tobias Matzat
German Translation

Marco Mascherpa
Italian Translation

Claudio Merloni
Italian Translation

Christian Apolloni
Italian Translation

Stefano Lucidi
Italian Translation

Yoshiaki Hagihara
Japanese Translation

Katsuyuki Konno
Japanese Translation

Yuji Carlos Kosugi
Japanese Translation

Yasunori Fukudome
Japanese Translation

Takashi Ota
Japanese Translation

Radoslaw Janeczko
Polish Translation

Lukasz Strzygowski
Polish Translation

Michal Drobek
Polish Translation

Adam Lyjak
Polish Translation

Krzysztof Klimonda
Polish Translation

Atila "Jedi" Bohlke Vasconcelos
Portuguese (Brazil) Translation

Eduardo Belloti
Portuguese (Brazil) Translation

João Rafael Moraes Nicola
Portuguese (Brazil) Translation

Marcelo Gonçalves de Azambuja
Portuguese (Brazil) Translation

Otavio Rodolfo Piske
Portuguese (Brazil) Translation

Pablo N. Hess -- NatuNobilis
Portuguese (Brazil) Translation

Pedro de Medeiros
Portuguese (Brazil) Translation

Ventura Barbeiro
Portuguese (Brazil) Translation

Bruno Ferreira
Portuguese (Portugal) Translation

Gustavo Felisberto
Portuguese (Portugal) Translation

José Costa
Portuguese (Portugal) Translation

Luis Medina
Portuguese (Portugal) Translation

Ricardo Loureiro
Portuguese (Portugal) Translation

Sergey Galkin
Russian Translator

Sergey Kuleshov
Russian Translator

Alex Spirin
Russian Translator

Dmitry Suzdalev
Russian Translator

Anton Vorovatov
Russian Translator

Denis Zaletov
Russian Translator

Lanark
Spanish Translation

Fernando J. Pereda
Spanish Translation

Lluis Peinado Cifuentes
Spanish Translation

Zephryn Xirdal T
Spanish Translation

Guillermo Juarez
Spanish Translation

Jesús García Crespo
Spanish Translation

Carlos Castillo
Spanish Translation

Julio Castillo
Spanish Translation

Sergio Gómez
Spanish Translation

Aycan Irican
Turkish Translation

Bugra Cakir
Turkish Translation

Cagil Seker
Turkish Translation

Emre Kazdagli
Turkish Translation

Evrim Ulu
Turkish Translation

Gursel Kaynak
Turkish Translation

Donate to support our development efforts.

Copyright 2001-2014 Gentoo Foundation, Inc. Questions, Comments? Contact us.